This is the Trace Id: db45c62cc66db5c1917db8c6704809c8
דלג לתוכן הראשי
Security Insider

שנת בינת האיומים 2023 בסקירה: תובנות והתפתחויות עיקריות

שתף
עיגולים אדומים בשמיים

זו הייתה שנה מדהימה עבור בינת האיומים של Microsoft. הנפח המוחלט של איומים ומתקפות שנחשפו לאורך מעל ל- 65 טריליון אותות שניטרנו מדי יום, סיפק לנו נקודות נטייה רבות, במיוחד מאחר שהבחנו בשינוי באופן שבו גורמי איום משנים את קנה המידה וממנפים תמיכה במדינת לאום. השנה האחרונה הציגה יותר מתקפות מאי פעם בעבר, ושרשרת המתקפות הופכות ליותר מורכבות בכל שנה שחולפת. זמני ההשתהות התקצרו. טקטיקות, טכניקות ונהלים (TTPs) התפתחו והפכו לזריזים ובעלי אופי חמקני יותר. מבט לאחור על הפרטים של תקריות אלה עוזר לנו לראות את הדפוסים כדי שנוכל לקבוע כיצד להגיב לאיומים חדשים ולצפות את הכיוון הבא שאליו הם עשויים לפנות. המטרה של סקירת ה- TPPs שלנו משנת 2023 היא לספק מבט כולל מקיף של נוף בינת האיומים באמצעות מה שאנו צפינו בתקריות ברחבי העולם. להלן כמה רגעים בולטים ששרוד דה גריפו ואני נשמח לשתף איתך יחד עם כמה מקטעי וידאו שנלקחו מהדיון שלנו ב- Ignite 2023.

ג’ון למברט,
סגן נשיא תאגידי ועמית אבטחה ב- Microsoft

טקסונומיית שיום של גורם איום

בשנת 2023, Microsoft עבור לטקסונומיית שיום גורם איום חדשה בנושא מזג אוויר אשר (1) מתאימה בצורה טובה יותר למורכבות, קנה המידה והנפח הגדלים של איומים מודרניים וכן (2) מספקת דרך מאורגנת, זכירה וקלה יותר לאזכר קבוצות יריבות.1

Microsoft מחלקת לקטגוריות גורמי איום בתוך חמש קבוצות עיקריות:

פעולות השפעה של מדינת לאום: Blizzard, ‏Tempest,‏ Flood, ‏Tsunami, ‏Storm, ‏Sandstorm,‏ Sleet.

בטקסומוניה החדשה שלנו, שם או משפחה של אירועי מזג אוויר מייצגים את אחת מהקטגוריות לעיל. גורמי איום ששייכים לאותה משפחת מזג אוויר מקבלים שם תואר שמבחין בין קבוצות שונות, למעט קבוצות שנמצאות בפיתוח, שמקבלות מספר בעל ארבע ספרות.

מגמות בטקטיקות, טכניקות ונהלים (TTP) לשנת 2023

הימנעות מכלים ותוכנה זדונית מותאמים אישית

קבוצות של גורמי איום שמדגישות התגנבות, נמנעו באופן סלקטיבי מהשימוש בתוכנה זדונית מותאמת אישית. במקום זאת, הם משתמשים בכלים ותהליכים שקיימים במכשיר של הקרבן שלהם כדי להחביא את עצמם לצד גורמי איום אחרים שמשתמשים בשיטות דומות להשקת מתקפות. 2

סגן הנשיא התאגידי ועמית האבטחה של Microsoft, ג’ון למברט, מגיב בקצה לגבי האופן שבו גורמי איום נמנעים מכלי התאמה אישית ראוותניים כדי להשיג התגנבות. צפה בסרטון להלן:

שילוב פעולות השפעה (IO) וסייבר

במהלך הקיץ, Microsoft צפה בשחקני מדינת לאום מסוימים משלבים שיטות של פעולות סייבר ופעולות בעלות השפעה (IO) בתוך היברידיות חדשה, שקראנו להן ”פעולות בעלות השפעה תואמות סייבר”. טקטיקה חדשה זו עוזרת לגורמים לחזק, להגזים או לפצות על מגרעות ביכולות הגישה שלהם לרשת או ביכולות מתקפת הסייבר שלהם. 3 שיטות סייבר כוללות טקטיקות כגון גנבת נתונים, השחתה, מתקפת DDoS ותוכנת כופר בשילוב עם שיטות בעלות השפעה כגון דליפות נתונים, בובות גרב, התחזות לקרבנות, מדיה חברתית ותקשורת בהודעות SMS/דואר אלקטרוני.
מערך ידידותי לאינטרנט של שיטות סייבר והשפעה

השוואת מכשירי קצה של רשת SOHO

גורמי איום מרכיבים רשתות מסתור מפני מכשירי קצה של רשת משרד קטן/משרד ביתי (SOHO), אפילו משתמש בתוכניות לסיוע באיתור נקודות קצה פגיעות ברחבי העולם. הטכניקה הזאת מסבכת את השיוך וגורם למתקפות לצוץ כמעט מכל מקום.4

בסרטון וידאו זה שאורכו 35 שניות, ג’ון למברט מ- Microsoft מרחיב לגבי הסיבות שגורמי איום רואים במכשירי קצה של רשת SOHO יעדים כל-כך אטרקטיביים. צפה בסרטון להלן:

גורמי איום משיגים גישה ראשונית באמצעים מגוונים

באוקראינה ובמקומות אחרים, חוקרי בינת האיומים של Microsoft צפו בגורמי איום משיגים גישה ראשונים ליעדים באמצעות ערכת כלים מגוונת. טקטיקות וטכניקות נפוצות כללו את הניצול של אפליקציות שפונות לאינטרנט, תוכה פיראטית מהדלת האחורית ודיוג ממוקד. 5 באופן ריאקטיבי, מעלים את פעולות הסייבר ובעלות ההשפעה שלהם במהירות לאחר המתקפות של חמאס נגד ישראל.

התחזות לקרבנות כדי להוסיף מהימנות

מגמה הולכת וגדלה בסייבר אפשרה פעולות בעלות השפעה שקשורות בהתחזות לארגונים או דמויות מובילות בארגונים אלה, שטענו שהם קרבן, להוסיף מהימנות להשפעות של מתקפת סייבר או חשיפה לסכנה. 6

אימוץ מהיר של הוכחות רעיונות שנחשפו לציבור עבור גישה ראשונית ועקביות

Microsoft צפתה ביותר ויותר תת-קבוצות של מדינות לאום מסוימות, מאמצים קוד הוכחת רעיון (POC) שנחשף לציבור זמן קצר לאחר שהוא הופץ כדי לנצל פגיעויות באפליקציות שפונות לאינטרנט. 7

 

האיור להלן מתאר שתי שרשראות מתקפה שנצפה על-ידי Microsoft כי הן מועדפות על-ידי תת-קבוצה של מדינת לאום. בשתי השרשראות, התוקפים משתמשים ב- Impacket כדי לנוע באופן רוחבי.

איור של שרשרת מתקפה.

גורמי איום מנהלים להשתמש בהעברת הודעות SMS בצובר כדי להתחבר לקהל יעד

Microsoft צפה בגורמים רבים מנסים להשתמש בהעברת הודעות SMS בצובר כדי לשפר את ההשלכות וההשפעה הפסיכולוגית של הפעולות בעלות השפעת הסייבר שלהם. 8

האיור להלן מציג שתי הודעות SMS זו לצד זו מגורמי איום שמתחזים לרשת ספורט ישראלית. ההודעה משמאל מכילה קישור לעמוד אינטרנט מושחת של Sport5. ההודעה מימין מזהירה ”אם אתם מעוניינים בחיים שלהם, אל תטיילו למדינות שלנו”.

Atlas Group Telegram: צילומי מסך של הודעה SMS שמתחזה לרשת ספורט ישראלית.

פעולות במדיה החברתית מגבירות את מעורבות הקהל האפקטיבית

פעולות השפעה סמויות מתחילות להשפיע בהצלחה על קהלי יעד ברשתות החברתיות במידה רבה יותר ממה שנצפה בעבר, הן מראות רמות תחכום גבוהות יותר ומטפחות נכסי IO מקוונים.9

 

להלן מופיעה גרפיקה של Black Lives Matter (חיי השחורים חשובים) שהועלתה לראשונה על-ידי חשבון אוטומטי של קבוצת מדינת לאום. שבע שעות מאוחר יותר היא הועלתה מחדש על-ידי חשבון שמתחזה למצביע שמרני אמריקאי.

הצהרה שתומכת ברעיון של "חיי שחורים חשובים" (Black Lives Matter), מגנה אפליה, אלימות משטרתית, תומכת בכבוד ובטיחות

התמחות במסגרת כלכלת תוכנת הכופר

מפעילי תוכנת כופר ב- 2023 נטו לכיוון התמחות, מתוך בחירה להתמקד בטווח קטן של יכולות ושירותים. התמחות זו כוללת אפקט מפצל, שמפיץ רכיבים של מתקפת תוכנת כופר בין ספקים רבים בכלכלה חתרנית מורכבת. כתגובה, בינת האיומים של Microsoft עוקבת אחר ספקים באופן נפרד, מבחינה בסוג התעבורה בגישה ראשונית ולאחר מכן בשירותים אחרים.10

 

במקטע וידאו שנלקח מ- Ignite, מנהל אסטרטגיית בינת איומים של בינת האיומים של Microsoft, שרוד דה גריפו, מתארת את המצב הנוכחי של כלכלת שירות תוכנת הכופר. צפה בסרטון להלן:

שימוש קבוע ביצירת כלי התאמה אישית

בעוד שקבוצות מסוימות נמנעות באופן פעיל מתוכנת כופר מותאמת אישית למטרות התגנבות (ראה ”הימנעות מכלים ותוכנה זדונית מותאמים אישית” לעיל), קבוצות אחרים התרחקו מכלים שזמינים לציבור ומקבצי Script פשוטים לטובת גישות מוזמנות שדורשות מלאכת מסחר מתוחכמת יותר.11

הצבת תשתית כיעד

על אף שלארגוני תשתית - מתקני התפלת מים, פעולות ימיות, ארגוני תחבורה - אין את סוג הנתונים בעל הערך שמושך את רוב ריגול הסייבר עקב מחסור בערך מודיעיני, הם כן מציעים ערך משבש. 12

 

ג’ון למברט מ- Microsoft מציג בקצרה את פרדוקס ריגול הסייבר: יעד שעל-פניו אין לו נתונים. צפה בסרטון להלן:

כפי שניתן לראות מהפרטים של 11 הפריטים משנת 2023 שסקרנו זה עתה, נוף האיומים ממשיך להתפתח והתחכום והתדירות של מתקפות סייבר ממשיכים לעלות. אין ספק שמעל 300 גורמי האיום שאנחנו עוקבים אחריהם תמיד ינסו משהו חדש וישלבו אותו עם ה- TTPs הישנים והטובים. זה מה שאנחנו אוהבים לגבי גורמי איום אלה,ככל שאנו מנתחים ומבינים את האישיות שלהם, אנחנו יכולים לחזות את הצעדים הבאים שלהם. ועכשיו, בעזרת בינה מלאכותית יצרנית, אנחנו יכולים לעשות זאת מהר יותר ונשתפר בגירוש תוקפים אלה בשלבים מוקדמים יותר.

 

עם כל מה שאמרנו, בואו נתקדם לעבר 2024.

 

כדי לקבל חדשות ומידע בנושא בינת איומים, באפשרותך לתמצית את המידע שאתה מוצא בדרך, נסה את הפודאקסט של בינת האיומים של Microsoft בהנחיית שרוד דה גריפו.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    שנה של לוחמה היברידית רוסית באוקראינה. עמוד 14

  6. [6]

    איראן פונה לפעולות השפעה תומכות סייבר לקבלת אפקט גדול יותר. עמוד 11.

  7. [7]
  8. [8]

    איראן פונה לפעולות השפעה תומכות סייבר לקבלת אפקט גדול יותר. עמוד 11.

  9. [9]

    האיומים הדיגיטליים ממזרח אסיה מתרחבים ומתייעלים. עמוד 6

  10. [10]

    שנה ב- Intel: רגעים בולטים מתוך העמדה הגלובלית של Microsoft נגד קבוצות APT

  11. [11]

    איראן פונה לפעולות השפעה תומכות סייבר לקבלת אפקט גדול יותר. עמוד 12.

  12. [12]

    שנה ב- Intel: רגעים בולטים מתוך העמדה הגלובלית של Microsoft נגד קבוצות APT

פעולות שמשפיעות על תחום הסייבר מדינת לאום גורמי איום

מאמרים קשורים

גורמי האיום הרוסים מתבצרים ומתכוננים להשתלט על התשישות מהלחמה

פעולות הסייבר והשפעה הרוסיות נמשכות בשעה שהמלחמה באוקראינה נמשכת. בינת האיומים של Microsoft מפרטת את איום הסייבר האחרון ופעולות ההשפעה האחרונות במהלך 6 החודשים האחרונים.
מידע נוסף

Volt Typhoon שם לו למטרה תשתית אמריקאית קריטית באמצעות טכניקות שימוש בכלים קיימים

בינת האיומים של Microsoft חושפת עלייה בפעולות השפעה תומכות סייבר שיוצאות מאיראן. קבל תובנות לגבי איומים עם פרטים לגבי טכניקות חדשות והיכן קיים הפוטנציאל לאיומים עתידיים.
מידע נוסף

תוכנת כופר כשירות: הפנים החדשות של פשע סייבר מתועש

בינת האיומים של Microsoft בוחנת שנה של סייבר ופעולות השפעה באוקראינה, חושפת מגמות חדשות באיומי סייבר ולמה לצפות בשעה שהמלחמה נכנסת לשנתה השנייה.
מידע נוסף

עקוב אחר 'האבטחה של Microsoft'